Una PMI italiana su tre non ha ancora un sistema di monitoraggio centralizzato degli eventi di sicurezza. Con la Direttiva NIS2 in vigore e il numero di attacchi ransomware cresciuto del 14% in Italia nel 2025 (secondo il Rapporto TIM 2026), scegliere la piattaforma SIEM giusta non è più un’opzione: è un requisito normativo. Wazuh, con 15.905 stelle su GitHub e licenza open source, si scontra direttamente con Splunk, il gigante enterprise che può costare fino a $400.000 all’anno per 100 GB/giorno di ingestione. Questa analisi confronta le due piattaforme su ogni asse che conta: funzionalità, costi, performance, scalabilità e conformità GDPR/NIS2.
Perché il SIEM è Diventato Obbligatorio nel 2026
Il panorama delle minacce italiano del 2026 non lascia spazio alla procrastinazione. Il report Unit 42 di Palo Alto Networks documenta che gli attaccanti passano dalla compromissione iniziale all’esfiltrazione dei dati in meno di 2 ore: senza visibilità centralizzata sugli eventi, il rilevamento diventa impossibile. La Direttiva NIS2 obbliga circa 12.000 aziende italiane a implementare sistemi di monitoraggio continuo, risposta agli incidenti e reportistica agli organi competenti entro tempi definiti.
Un SIEM (Security Information and Event Management) centralizza i log di server, endpoint, firewall e applicazioni, correla gli eventi in tempo reale e genera alert quando vengono rilevate anomalie. La differenza tra Wazuh e Splunk non riguarda solo il prezzo: riguarda la filosofia. Wazuh è una piattaforma XDR+SIEM completamente open source, costruita per chi vuole controllo totale sull’infrastruttura. Splunk è una data platform enterprise con capacità SIEM potenziate dall’add-on Splunk Enterprise Security, pensata per team con budget e risorse tecniche significativi.
Secondo il Rapporto sulla Cybersecurity di TIM 2026, l’Italia ha registrato 166 attacchi gravi nel 2025, con un aumento del 14% degli attacchi ransomware. Il 34% delle violazioni ha coinvolto sistemi privi di logging centralizzato. I dati del World Economic Forum 2026 confermano che il 77% delle organizzazioni ha adottato l’AI per la cybersecurity, principalmente per il rilevamento delle minacce: un compito che entrambe le piattaforme cercano di automatizzare.
Panoramica: Due Piattaforme, Due Filosofie
Wazuh nasce nel 2015 come fork di OSSEC, il sistema di rilevamento intrusioni host-based open source più diffuso al mondo. Nel corso degli anni si è evoluto in una piattaforma unificata XDR (Extended Detection and Response) e SIEM, mantenendo la licenza open source e costruendo una community globale di oltre 15.900 sviluppatori su GitHub. L’architettura si basa su tre componenti principali: il Wazuh Agent installato sugli endpoint, il Wazuh Server che centralizza l’analisi, e il Wazuh Indexer (basato su OpenSearch) per l’indicizzazione e la ricerca dei log. Il tutto è accessibile tramite il Wazuh Dashboard, un’interfaccia grafica completa.
Splunk è nata nel 2003 come piattaforma di analisi dei log machine-generated e si è progressivamente spostata verso la cybersecurity enterprise con Splunk Enterprise Security (ES), il suo add-on SIEM di punta. L’acquisizione da parte di Cisco completata nel 2024 ha accelerato l’integrazione con il portafoglio di sicurezza Cisco, ma ha anche generato incertezza sui prezzi futuri. Splunk utilizza un modello di licensing basato sul volume di ingestione giornaliera (GB/giorno), il che può diventare estremamente costoso con carichi di lavoro elevati.
Tabella di Confronto Tecnico Completo
| Caratteristica | Wazuh 4.12.0 | Splunk Enterprise Security |
|---|---|---|
| Licenza | Open Source (GPL v2 + SSPL) | Proprietario (post-acquisizione Cisco) |
| Costo licenza | $0 | $69.000-$400.000/anno (100 GB/giorno) |
| GitHub Stars | 15.905 | N/A (codice chiuso) |
| GitHub Forks | 2.345 | N/A |
| Tipo piattaforma | SIEM + XDR unificato | Data Platform + SIEM add-on (ES) |
| File Integrity Monitoring (FIM) | Nativa, inclusa | Tramite Splunk ES add-on |
| Vulnerability Detection | Nativa (scanner integrato) | Tramite integrazioni terze parti |
| Mappatura MITRE ATT&CK | Modulo nativo incluso | Sì, tramite Splunk ES framework |
| Threat Intelligence | VirusTotal, MISP, AlienVault, URLHaus | Splunk ThreatIntelligence add-on |
| Free tier | Sì, funzionalità complete senza limiti | 500 MB/giorno (Splunk Free) |
| Cloud managed | Wazuh Cloud ($571/mese per 100 agenti) | Splunk Cloud (pricing enterprise) |
| Container/Kubernetes | Sì (monitoring nativo) | Sì (con Splunk Connect for Kubernetes) |
| Compliance integrata | GDPR, NIS2, PCI DSS, HIPAA, TSC | GDPR, PCI DSS, SOX, HIPAA, ISO 27001 |
| CVE noti 2025-2026 | CVE-2025-24016 (RCE, fix in v4.9.1) | CVE-2025-36106 (path traversal, patchato) |
| Deployment | Self-hosted, Cloud, ibrido | Self-hosted, Splunk Cloud, ibrido |
Architettura e Installazione
Architettura Wazuh: Componenti e Flusso Dati
L’architettura di Wazuh si articola in quattro componenti che lavorano in tandem. Il Wazuh Agent è un software leggero installato su ogni endpoint monitorato (Windows, Linux, macOS, FreeBSD), responsabile della raccolta di log, eventi di sistema, anomalie di comportamento e informazioni di vulnerabilità. Il Wazuh Server (o Manager) è il cervello del sistema: riceve gli eventi dagli agenti, li decodifica tramite un sistema di oltre 3.000 regole built-in, li correla e genera alert. Ogni alert è categorizzato per livello di gravità (da 0 a 15) e mappato automaticamente al framework MITRE ATT&CK.
Il Wazuh Indexer è basato su OpenSearch (la fork open source di Elasticsearch) e si occupa dell’indicizzazione e dello storage degli eventi processati. Supporta cluster distribuiti per alta disponibilità e scalabilità orizzontale. Il Wazuh Dashboard, basato su OpenSearch Dashboards, offre visualizzazioni interattive, moduli di compliance predefiniti e una console per la threat hunting. Per un’installazione all-in-one (adatta fino a 50-100 agenti), i requisiti minimi documentati sono 4 vCPU, 8 GB di RAM e 50 GB di spazio disco. Per deployment di produzione con centinaia di agenti si raccomanda un’architettura distribuita con componenti separati su nodi dedicati.
Il processo di installazione di Wazuh sfrutta uno script assistito che automatizza l’intera procedura in meno di 30 minuti su sistemi Linux (Ubuntu, CentOS, RHEL, Debian). La documentazione ufficiale Wazuh descrive ogni passaggio in dettaglio. Il comando di avvio rapido è semplice:
# Installazione Wazuh (all-in-one) su Ubuntu/Debian
curl -sO https://packages.wazuh.com/4.12/wazuh-install.sh
curl -sO https://packages.wazuh.com/4.12/config.yml
# Configurare config.yml con i nodi del deployment
bash wazuh-install.sh -aArchitettura Splunk: Complessità Enterprise
Splunk adotta un’architettura distribuita composta da Universal Forwarder (raccolta log sugli endpoint), Indexer (indicizzazione e storage), Search Head (interfaccia di query e dashboard) e, per le funzionalità SIEM, il layer aggiuntivo di Splunk Enterprise Security. Questa separazione modulare offre flessibilità estrema ma introduce complessità: un deployment Splunk di produzione richiede tipicamente team dedicati di Splunk Certified Architects e Administrators. I requisiti hardware per Splunk Enterprise sono significativamente più elevati rispetto a Wazuh: almeno 12 vCPU e 12 GB di RAM per l’Indexer, con storage dimensionato in base al volume di ingestione e alla retention policy.
Il linguaggio di query proprietario di Splunk, lo SPL (Search Processing Language), è potente ma ha una curva di apprendimento ripida. Chi conosce SQL o Elasticsearch DSL dovrà dedicare settimane alla formazione prima di sfruttare appieno le capacità analitiche della piattaforma. Wazuh, al contrario, utilizza OpenSearch Query DSL, compatibile con Elasticsearch, e fornisce moduli preconfigurati che non richiedono query personalizzate per i casi d’uso standard di compliance e threat detection.
Funzionalità SIEM: Analisi Comparativa
La funzione principale di qualsiasi SIEM è la correlazione degli eventi di sicurezza provenienti da sorgenti eterogenee per identificare minacce che singoli log non renderebbero visibili. Su questo fronte, Wazuh e Splunk adottano approcci fondamentalmente diversi.
Wazuh include nativamente un motore di correlazione basato su regole con oltre 3.000 decodificatori e regole predefinite, copertura out-of-the-box per le più diffuse distribuzioni Linux, Windows Server, applicazioni web (Apache, Nginx, IIS) e database (MySQL, PostgreSQL, MSSQL). Ogni alert generato da Wazuh include automaticamente il contesto MITRE ATT&CK (tattica e tecnica), il livello di gravità e le possibili azioni di rimedio. Il sistema di Active Response di Wazuh permette inoltre di eseguire azioni automatiche in risposta a specifici alert: blocco di un IP via firewall, quarantena di un file, notifica via Slack o PagerDuty.
Splunk Enterprise Security eccelle nella correlazione di volumi di dati estremamente elevati e nella personalizzazione delle ricerche attraverso SPL. La piattaforma supporta dozzine di framework di correlazione e offre un risk-based alerting (RBA) sofisticato che assegna punteggi di rischio cumulativi alle entità (utenti, host, indirizzi IP) invece di generare alert per ogni singolo evento. Questo riduce drasticamente il numero di falsi positivi in ambienti enterprise con migliaia di endpoint. Il Splunk Enterprise Security ospita oltre 2.800 app e add-on tramite Splunkbase che estendono le capacità della piattaforma verso qualsiasi tecnologia o vendor del mercato.
Sul fronte del log management, Splunk non ha rivali in termini di volume gestibile e velocità di ricerca su dataset storici di dimensioni petabyte. Wazuh, pur scalando orizzontalmente tramite cluster OpenSearch, è più adatto a deployment fino a qualche centinaio di GB al giorno: oltre questa soglia, la gestione richiede competenze avanzate di tuning OpenSearch. Per la maggior parte delle PMI italiane che rientrano nell’ambito NIS2, questa limitazione non è rilevante.
Rilevamento Minacce e Framework MITRE ATT&CK
Il MITRE ATT&CK è diventato lo standard de facto per descrivere il comportamento degli attaccanti. Wazuh integra nativamente il modulo MITRE ATT&CK che mappa ogni alert alle tattiche (Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) e alle tecniche specifiche associate. Il dashboard MITRE di Wazuh permette di visualizzare a colpo d’occhio quali tattiche sono state rilevate nell’infrastruttura monitorata e con quale frequenza.
La File Integrity Monitoring (FIM) di Wazuh monitora in tempo reale le modifiche a file e directory critici del sistema operativo, registrando chi ha effettuato la modifica, quando, con quale processo e quale contenuto è cambiato. Questa funzionalità è fondamentale per il rilevamento di malware che modificano file di sistema, ransomware che cifrano file utente e attaccanti che installano backdoor. La FIM nativa di Wazuh copre Windows (incluso il registro di sistema), Linux e macOS senza necessità di add-on aggiuntivi.
Per la Threat Intelligence, Wazuh si integra nativamente con VirusTotal (scansione automatica degli hash di file sospetti), AlienVault OTX (feed di indicatori di compromissione), URLHaus (URL malevoli) e MISP (Malware Information Sharing Platform). Ogni integrazione può essere configurata in pochi minuti tramite il file ossec.conf e arricchisce automaticamente gli alert con il contesto di threat intelligence. Splunk offre integrazioni simili tramite l’Threat Intelligence Framework dell’ES add-on, ma richiede licenze aggiuntive e configurazione più complessa.
Il Vulnerability Assessment integrato in Wazuh analizza periodicamente il software installato su ogni agente e lo confronta con i database CVE aggiornati (NVD, OSV), generando report di vulnerabilità per ogni endpoint monitorato senza necessità di scanner esterni come Nessus o OpenVAS. Questo approccio agentless-from-agent riduce i costi di licensing degli strumenti di vulnerability management e centralizza la visibilità nel singolo dashboard.
Prezzi e Costo Totale di Proprietà (TCO)
La differenza di costo tra Wazuh e Splunk è il fattore che più di ogni altro orienta la scelta, specialmente per le organizzazioni italiane di medie dimensioni. Wazuh non ha costi di licenza: l’intero stack (server, indexer, dashboard, agenti) è liberamente scaricabile e utilizzabile in produzione senza limitazioni funzionali. I costi sono esclusivamente infrastrutturali (server o cloud) e, se richiesto, di supporto professionale.
| Scenario | Wazuh (costo annuo totale) | Splunk (costo annuo totale) |
|---|---|---|
| Piccola organizzazione, 50 agenti, 5 GB/giorno | $0 (self-hosted) / $6.852 (Wazuh Cloud) | ~$8.000 (base, Splunk Cloud) |
| Media organizzazione, 100 agenti, 20 GB/giorno | $7.800-$15.000 (infrastruttura AWS) | ~$25.000-$40.000 |
| Grande organizzazione, 500 agenti, 100 GB/giorno | $20.000-$62.256 (infrastruttura) | $69.000-$400.000 (modello workload) |
| Free tier | Illimitato (funzionalità complete) | 500 MB/giorno (Splunk Free) |
| Supporto professionale | $5.000-$30.000/anno (Wazuh Inc.) | Incluso nel contratto enterprise |
Wazuh Cloud, il servizio managed lanciato da Wazuh Inc. per chi non vuole gestire l’infrastruttura, ha un piano da 100 agenti a $571/mese ($6.852/anno), che include hosting, aggiornamenti automatici e supporto tecnico di base. Per le PMI italiane che non dispongono di team IT dedicato, questa soluzione offre un equilibrio ottimale tra costi contenuti e riduzione del carico operativo.
Il modello di pricing di Splunk ha subito cambiamenti significativi con l’introduzione del modello workload (basato sulla capacità computazionale allocata invece che sul volume di dati ingestiti), ma le analisi di mercato del 2026 indicano costi nell’ordine di $200.000-$400.000 all’anno per deployment da 100 GB/giorno con il modello workload. Il modello tradizionale basato sul volume di ingestione rimane intorno a $69.000/anno per 100 GB/giorno. Questi numeri escludono i costi di formazione, implementazione e il personale specializzato necessario per amministrare la piattaforma.
Un’analisi del TCO (Total Cost of Ownership) su 3 anni per un’organizzazione media con 100 agenti e 20 GB/giorno di log evidenzia un risparmio potenziale tra $150.000 e $500.000 scegliendo Wazuh rispetto a Splunk Enterprise Security, inclusi i costi di infrastruttura, formazione e supporto. Per una PMI italiana con fatturato sotto i 50 milioni di euro, questo differenziale è spesso determinante.
Performance e Scalabilità
Le performance di un SIEM si misurano principalmente in eventi per secondo (EPS) gestibili senza degradazione delle latenze di rilevamento. Wazuh, in un deployment distribuito con server dedicato e indexer separato su hardware moderno (8 core, 16 GB RAM), gestisce con agevolezza 50.000-100.000 EPS. Per volumi superiori, l’architettura cluster di Wazuh permette di aggiungere nodi indexer orizzontalmente: ogni nodo aggiuntivo scala la capacità di ingestione proporzionalmente. OpenSearch, su cui si basa il Wazuh Indexer, è stato testato in deployment da centinaia di TB con latenze di ricerca sotto i 500ms.
Splunk eccelle nella gestione di volumi estremi: le installazioni enterprise più grandi raggiungono petabyte di dati indicizzati con velocità di ricerca e correlazione superiori a Wazuh. La tecnologia SmartStore di Splunk separa il compute dallo storage, permettendo di scaricare i dati storici su object storage economico (S3, Azure Blob) mantenendo accesso rapido ai dati recenti. Per organizzazioni con requisiti di retention pluriennali e volumi nell’ordine di centinaia di GB al giorno, Splunk offre vantaggi tecnici non trascurabili.
La latenza di rilevamento è una metrica critica per la risposta agli incidenti. Wazuh garantisce alert in tempo quasi-reale: il tempo tra l’evento sul sistema operativo dell’agente e la visualizzazione dell’alert sul dashboard è tipicamente inferiore a 5 secondi in condizioni di rete normali. Splunk ES raggiunge latenze simili per regole di correlazione semplici, ma le ricerche programmate (scheduled searches) utilizzate per regole complesse introducono latenze configurabili da 1 minuto a ore, a seconda del volume di dati e delle risorse disponibili.
Integrazioni ed Ecosistema
L’ecosistema di integrazioni è spesso il fattore decisivo in ambienti enterprise con tecnologie eterogenee. Splunk domina questo fronte con Splunkbase, il marketplace che ospita oltre 2.800 app e add-on sviluppati da Splunk, vendor partner e dalla community. Esistono integrazione native per praticamente ogni prodotto di sicurezza del mercato: Palo Alto Networks, Cisco, CrowdStrike, Microsoft Sentinel, AWS Security Hub, Google Chronicle e decine di altri. L’ecosistema SOAR (Security Orchestration, Automation and Response) di Splunk, tramite Splunk SOAR (ex Phantom), permette di orchestrare playbook di risposta agli incidenti che attraversano dozzine di strumenti.
Wazuh offre un set di integrazioni native più ristretto ma copre le esigenze più comuni: oltre alle già citate VirusTotal, MISP, AlienVault e URLHaus per la threat intelligence, Wazuh si integra con Slack, PagerDuty e Jira per le notifiche e la gestione degli incidenti. Il modulo di integrazione API permette di inviare alert a qualsiasi sistema esterno via webhook. La community open source ha sviluppato integrazioni non ufficiali per TheHive (incident management), Cortex (analisi automatizzata degli observable) e diverse piattaforme SOAR.
Per le organizzazioni che adottano architetture cloud-native, Wazuh monitora nativamente AWS (tramite CloudTrail, CloudWatch, GuardDuty), Google Cloud Platform (tramite Cloud Audit Logs) e Microsoft Azure (tramite Azure Monitor e Azure Active Directory). Il supporto per i container si estende a Docker e Kubernetes, con monitoraggio degli audit log dell’API server e rilevamento di comportamenti anomali nei pod. Splunk offre connettori simili tramite le sue app dedicate per ogni cloud provider, con funzionalità analytics più avanzate grazie alla potenza del motore SPL.
Conformità Normativa: GDPR, NIS2 e PCI DSS
La conformità normativa è diventata il principale driver di adozione dei SIEM per le aziende italiane ed europee nel 2026. La Direttiva NIS2 richiede alle organizzazioni degli settori essenziali e importanti di implementare misure tecniche e organizzative che includono il monitoraggio continuo delle reti, la rilevazione delle anomalie e la notifica degli incidenti entro 24 ore alle autorità competenti. Wazuh è esplicitamente posizionato come soluzione per la conformità NIS2 e include moduli predefiniti per NIS2, GDPR, PCI DSS, HIPAA, TSC e GPG13.
Il modulo GDPR di Wazuh mappa ogni alert alle specifiche disposizioni del Regolamento Europeo sulla Protezione dei Dati, facilitando la dimostrazione della conformità ai responsabili della protezione dei dati (DPO) e agli ispettori del Garante. Il dashboard dedicato mostra in tempo reale quali articoli GDPR sono rilevanti per gli eventi di sicurezza rilevati: accesso non autorizzato a dati personali (Art. 5), violazioni della riservatezza (Art. 32), o tentativi di esfiltrazione. Questo livello di granularità normativa è particolarmente utile per le organizzazioni soggette ai crescenti controlli GDPR del 2026.
Per il PCI DSS v4.0, Wazuh copre i requisiti di monitoraggio dell’accesso alle risorse di rete (Req. 10), il monitoraggio dell’integrità dei file (Req. 11.5) e il rilevamento degli accessi non autorizzati (Req. 12). I report di compliance generabili dal dashboard di Wazuh includono evidenza documentale pronti per le audit, riducendo significativamente i tempi di preparazione per le certificazioni. Splunk Enterprise Security offre capacità analoghe tramite il Content Pack per PCI DSS, con dashboard e search pre-built, ma il costo aggiuntivo del framework ES rende questa soluzione accessibile principalmente alle grandi organizzazioni finanziarie.
Cinque Casi d’Uso Reali
1. PMI manifatturiera sotto NIS2 (200 dipendenti, 50 server Windows). Un’azienda metalmeccanica lombarda con 50 server Windows e 150 workstation ha implementato Wazuh in 3 settimane per soddisfare i requisiti NIS2. Costo totale: $12.000 il primo anno (server cloud AWS + supporto Wazuh Inc.). Il dashboard GDPR preconfigurato ha permesso al DPO di generare report mensili senza intervento del team IT. Il confronto con un’offerta Splunk ha mostrato un differenziale di $45.000 nel primo anno, insostenibile per le dimensioni aziendali.
2. Ospedale universitario con dati sanitari GDPR (5.000 endpoint). Un policlinico universitario del Centro Italia con 5.000 endpoint (postazioni cliniche, server PACS, sistemi EHR) ha selezionato Wazuh per la capacità di gestire ambienti misti Windows/Linux senza limitazioni di volume. Il modulo HIPAA di Wazuh monitora gli accessi ai dati dei pazienti e genera alert immediati per accessi anomali ai sistemi EHR fuori dall’orario standard. Il FIM monitora 24/7 i file di configurazione dei sistemi medicali critici, con alert in tempo reale per qualsiasi modifica non autorizzata.
3. Banca sistemica con volume da 200 GB/giorno (deployment ibrido). Un istituto di credito di medie dimensioni con 200 GB/giorno di log da sistemi bancari, ATM e infrastruttura di rete ha scelto Splunk Enterprise Security per la sua capacità di correlare eventi ad alta velocità su volumi elevati e per la profonda integrazione con i prodotti di sicurezza già presenti nell’infrastruttura (Palo Alto NGFW, CyberArk PAM, Symantec DLP). Il risk-based alerting di Splunk ES ha ridotto i falsi positivi del 73% rispetto al precedente SIEM, permettendo al SOC di 8 analisti di gestire volumi altrimenti non gestibili.
4. MSSP italiano con 40 clienti SMB. Un Managed Security Service Provider romano utilizza Wazuh come piattaforma multi-tenant per monitorare 40 clienti PMI in un’unica installazione. La gestione centralizzata degli agenti e le API REST di Wazuh permettono di automatizzare l’onboarding di nuovi clienti in meno di 2 ore. Il modello economico è sostenibile: a fronte di un investimento iniziale di $30.000 in infrastruttura, l’MSSP eroga servizi di monitoraggio a 40 clienti con margin positivi sin dal primo mese, cosa impossibile con i costi di licensing Splunk per cliente.
5. Università con laboratori di cybersecurity (studenti e ricercatori). Il Dipartimento di Informatica di un ateneo italiano utilizza Wazuh come piattaforma didattica e di ricerca per 500 studenti. La licenza open source permette a docenti e studenti di analizzare il codice sorgente, modificare le regole di rilevamento e pubblicare ricerche sui comportamenti anomali. Il CVE-2025-24016 (RCE risolto in v4.9.1), ad esempio, è diventato caso di studio per un corso di sicurezza offensiva, con gli studenti che hanno replicato e studiato la vulnerabilità in ambiente controllato.
Opinioni degli Esperti
ThePrimeagen (Michael DeVito), sviluppatore senior e content creator noto per la sua posizione netta a favore degli strumenti open source e trasparenti, ha più volte espresso la convinzione che le piattaforme di sicurezza closed-source creino dipendenza dal vendor senza offrire garanzie sul comportamento reale del software. Dal suo punto di vista, un SIEM come Wazuh, dove è possibile leggere ogni regola di rilevamento, ogni decodificatore e ogni integrazione, offre un livello di fiducia impossibile da raggiungere con software proprietario. “Se non puoi leggere il codice, non puoi fidarti del software” è una delle sue posizioni più note sull’open source in ambito security.
Fireship (Jeff Delaney), noto per le sue analisi pragmatiche degli strumenti per sviluppatori, tende a valutare le piattaforme in base alla velocità di onboarding e alla riduzione della frizione per i team di dimensioni ridotte. Nella sua metodologia di valutazione, la capacità di avere un sistema funzionante in 30 minuti (come permette il quickstart di Wazuh) conta quanto le funzionalità avanzate. Splunk eccelle per i team enterprise con Splunk Certified Admins dedicati, ma per chi parte da zero la complessità dell’SPL e dell’architettura distribuita rappresenta un ostacolo significativo.
MKBHD (Marques Brownlee) applica ai prodotti tech la sua metodologia di confronto basata su dati oggettivi e user experience. Applicata ai SIEM, questa metodologia porta a una conclusione chiara: se il criterio è il valore per euro investito, Wazuh vince in modo netto per qualsiasi organizzazione sotto i 500 endpoint. Se il criterio è la potenza analitica pura e la capacità di gestire ambienti enterprise da migliaia di endpoint con volumi di dati estremi, Splunk mantiene un vantaggio tecnico reale. La scelta dipende dal punto in cui ci si trova nello spettro dimensionale.
Guida alla Migrazione da Splunk a Wazuh
La migrazione da Splunk a Wazuh richiede pianificazione attenta ma è tecnicamente fattibile per la maggior parte delle organizzazioni. Il percorso si articola in cinque fasi principali che permettono di mantenere la continuità operativa durante la transizione.
Fase 1: Inventario e mappatura (settimane 1-2). Documentare tutte le sorgenti di log attualmente gestite da Splunk (forwarder, syslog, API), le dashboard e report critici usati dal SOC e le regole di correlazione custom sviluppate nel tempo. Per ogni elemento Splunk, identificare l’equivalente Wazuh: le regole SPL di Splunk si traducono in regole XML di Wazuh, le dashboard Splunk si replicano in Kibana/OpenSearch Dashboards. Questo step richiede 1-2 settimane per ambienti di medie dimensioni.
Fase 2: Installazione parallela (settimane 2-4). Deployare Wazuh in parallelo a Splunk, iniziando con un subset non critico di endpoint (5-10% del totale). Installare gli agenti Wazuh sugli stessi host che già hanno i Splunk Universal Forwarder: le due piattaforme coesistono senza conflitti. Verificare che gli alert Wazuh corrispondano logicamente a quelli Splunk per gli stessi eventi generati manualmente.
Fase 3: Migrazione regole custom (settimane 3-6). Tradurre le regole SPL di Splunk in regole XML di Wazuh. Le regole Wazuh seguono una struttura XML semplice con campi predefiniti. Esempio di traduzione:
# Regola Wazuh per rilevamento brute force SSH
# (equivalente Splunk: index=os sourcetype=linux_secure "Failed password" | stats count by src_ip | where count > 5)
<rule id="100200" level="10">
<if_matched_sid>5720</if_matched_sid>
<same_source_ip />
<description>SSH Brute Force: 5+ tentativi dallo stesso IP</description>
<mitre>
<id>T1110</id>
</mitre>
<options>no_full_log</options>
<group>authentication_failures,pci_dss_10.2.4,gdpr_IV_35.7.d</group>
</rule>Fase 4: Espansione progressiva e validazione (settimane 4-10). Estendere la copertura Wazuh al 50%, poi al 100% degli endpoint, mantenendo Splunk attivo come sistema secondario per validazione. Verificare ogni alert critico su entrambi i sistemi. Formare il team SOC sull’interfaccia Wazuh e sul sistema di regole.
Fase 5: Disattivazione Splunk e ottimizzazione (settimane 10-14). Con la copertura al 100% e la fiducia del team sul nuovo sistema, procedere alla disattivazione degli Universal Forwarder Splunk e alla terminazione del contratto di licenza. Ottimizzare le performance di Wazuh (tuning delle regole per ridurre i falsi positivi, configurazione dei widget di dashboard personalizzati, setup delle integrazioni di threat intelligence).
Pro e Contro
Wazuh: Vantaggi e Limitazioni
| Pro Wazuh | Contro Wazuh |
|---|---|
| $0 di costo licenza, risparmio di $50.000-$350.000/anno vs Splunk | Curva di apprendimento XML per le regole custom |
| XDR + SIEM + FIM + Vulnerability Detection in un unico stack | Capacità analitiche su grandi volumi inferiori a Splunk |
| 15.905 stelle GitHub, community attiva, aggiornamenti frequenti | Interfaccia dashboard meno raffinata rispetto a Splunk ES |
| Moduli compliance preconfigurati (GDPR, NIS2, PCI DSS, HIPAA) | Ecosistema di integrazioni più ristretto (vs 2.800+ app Splunkbase) |
| Installazione automatizzata in 30 minuti | Supporto enterprise a pagamento (non incluso nella licenza base) |
| Nessun limite di ingestione dati | Scaling oltre 500 agenti richiede tuning avanzato di OpenSearch |
| Integrazioni native con principali threat intelligence feeds | CVE-2025-24016 (RCE, risolto in v4.9.1) ricorda che aggiornamenti tempestivi sono critici |
Splunk: Vantaggi e Limitazioni
| Pro Splunk | Contro Splunk |
|---|---|
| Capacità analitiche superiori su grandi volumi (petabyte) | Costi proibitivi: $69.000-$400.000/anno per 100 GB/giorno |
| Risk-based alerting avanzato per riduzione falsi positivi | Complessità architetturale e curva di apprendimento SPL ripida |
| 2.800+ app e integrazioni su Splunkbase | Free tier limitato a 500 MB/giorno |
| SmartStore per gestione economica dei dati storici | Dipendenza dal vendor (vendor lock-in post-acquisizione Cisco) |
| Splunk SOAR per orchestrazione complessa dei playbook | Richiede team dedicato di Splunk Certified Admins |
| Supporto enterprise incluso, SLA garantiti | Pricing opaco: cambio modello (workload vs volume) crea incertezza |
Quando Scegliere Wazuh e Quando Scegliere Splunk
Scegli Wazuh se: la tua organizzazione ha meno di 500 endpoint e un volume di log inferiore a 50 GB/giorno. Se il budget per la sicurezza è limitato e vuoi massimizzare la copertura per euro investito. Se sei una PMI soggetta a NIS2 che ha bisogno di compliance ready-to-use senza investimenti significativi. Se sei un MSSP che monitora decine di clienti SMB e hai bisogno di un modello economico sostenibile. Se vuoi controllo totale sull’infrastruttura senza dipendenza da vendor. Se il tuo team ha competenze Linux e vuoi una piattaforma open source personalizzabile.
Scegli Splunk se: la tua organizzazione è una grande enterprise con volumi superiori a 100 GB/giorno e risorse per un team Splunk dedicato. Se hai già investito nell’ecosistema Splunk (integrazioni, custom searches, formazione del team) e la migrazione avrebbe costi di transizione superiori al risparmio. Se hai bisogno del risk-based alerting avanzato per un SOC con team di 10+ analisti che gestiscono ambienti con migliaia di endpoint eterogenei. Se la potenza analitica SPL e le capacità di business intelligence dei dati di sicurezza (ad esempio correlazione con dati operativi o di business) sono strategicamente importanti.
Considera entrambi (approccio ibrido) se: hai un’infrastruttura enterprise ma con componenti critici che richiedono costi di monitoring contenuti: Wazuh per la copertura endpoint general purpose, Splunk ES per i sistemi core business ad alto valore con volumi elevati. Alcune grandi organizzazioni italiane usano Wazuh per il 70% degli endpoint (workstation, server secondari) e Splunk per i sistemi critici (core banking, ERP, data center primario), ottimizzando il rapporto costo/copertura.
Sicurezza della Piattaforma: CVE e Aggiornamenti
Nessuna piattaforma SIEM è immune da vulnerabilità, e la trasparenza nell’affrontarle è un indicatore di maturità del progetto. Nel 2025, Wazuh ha pubblicato informazioni su CVE-2025-24016, una vulnerabilità di esecuzione remota del codice nel Wazuh Server causata da deserializzazione non sicura. La vulnerabilità, classificata con CVSS 9.9 (critica), è stata rilevata nelle versioni dalla 4.4.0 alla 4.9.0 e corretta nella versione 4.9.1 rilasciata tempestivamente. Il disclosure pubblico e la rapidità della patch dimostrano la responsività del team Wazuh Inc. alle problematiche di sicurezza.
Il ciclo di rilascio di Wazuh è cadenzato: versioni major ogni 6-9 mesi, patch di sicurezza entro 30 giorni dalla scoperta di vulnerabilità critiche. La versione attuale 4.12.0 è la più recente disponibile al momento della stesura di questo articolo. Gli aggiornamenti si applicano tramite il sistema di package management del sistema operativo (apt, yum, dnf) senza interruzione del servizio per gli agenti, che mantengono la connessione durante gli aggiornamenti del server. Per Splunk, i cicli di aggiornamento enterprise possono richiedere finestre di manutenzione programmate e test di regressione più complessi date le dipendenze con gli add-on e le custom app.
Il Verdetto: Dati, Non Opinioni
La risposta alla domanda “Wazuh o Splunk?” dipende da tre variabili quantificabili: numero di endpoint, volume di log giornaliero e budget disponibile. Per il 90% delle organizzazioni italiane soggette a NIS2 (PMI con meno di 500 dipendenti, fino a qualche centinaio di server), Wazuh è la scelta razionale: $0 di licenza, funzionalità SIEM+XDR complete, moduli di compliance preconfigurati per GDPR e NIS2, installazione in 30 minuti e una community di 15.905 sviluppatori che garantisce continuità del progetto.
Il risparmio rispetto a Splunk Enterprise Security per un’organizzazione di 100 agenti e 20 GB/giorno è nell’ordine di $30.000-$80.000 all’anno, fondi che possono essere reinvestiti in formazione del team, in strumenti complementari (firewall di nuova generazione, EDR dedicato, penetration test annuali) o semplicemente trattenuti come utile.
Splunk mantiene un vantaggio tecnico reale per le grandi enterprise con volumi superiori a 50 GB/giorno, SOC di 10+ analisti e necessità di correlazione su dati eterogenei non strettamente di sicurezza (log applicativi, dati operativi, metriche di business). In questi contesti, le capacità analitiche SPL e l’ecosistema Splunkbase giustificano il costo significativamente più elevato. L’integrazione con il portafoglio Cisco post-acquisizione aggiungerà ulteriore valore per le organizzazioni già nell’ecosistema Cisco.
Verdetto per dimensione: startup e PMI sotto 200 dipendenti: Wazuh, senza eccezioni. Medie imprese (200-1000 dipendenti): Wazuh o Wazuh Cloud, con valutazione Splunk solo se si superano i 50 GB/giorno. Grande enterprise (1000+ dipendenti, volumi elevati): Splunk ES o approccio ibrido.
Domande Frequenti (FAQ)
Wazuh è davvero gratuito o ci sono costi nascosti? Il software Wazuh è completamente gratuito e open source, senza limitazioni funzionali o di volume. I costi potenziali riguardano l’infrastruttura su cui viene eseguito (server fisici o cloud), il supporto professionale opzionale offerto da Wazuh Inc. e le ore di lavoro per l’installazione e la configurazione iniziale. Wazuh Cloud, il servizio managed, parte da $571/mese per 100 agenti.
Wazuh può sostituire completamente Splunk in un ambiente enterprise? Dipende dalle dimensioni e dalle esigenze. Per la maggior parte delle organizzazioni italiane fino a 500 endpoint e 30-50 GB/giorno, sì. Per grandi enterprise con volumi superiori e dipendenza dall’ecosistema Splunk (custom apps, integrazioni SPL avanzate), la migrazione completa richiede investimenti significativi e potrebbe non essere giustificata economicamente nel breve termine.
Wazuh soddisfa i requisiti della Direttiva NIS2? Wazuh include moduli preconfigurati per NIS2 che coprono i requisiti di monitoraggio continuo, rilevamento delle anomalie, gestione degli accessi e reportistica. Tuttavia, NIS2 è una direttiva organizzativa che richiede anche politiche, procedure e governance: uno strumento tecnico come Wazuh copre la componente tecnologica ma non sostituisce la necessaria implementazione di processi e governance.
Quali sistemi operativi supporta l’agente Wazuh? L’agente Wazuh supporta Windows (da Windows XP a Windows Server 2022), Linux (tutte le principali distribuzioni: Ubuntu, CentOS, RHEL, Debian, Amazon Linux, Oracle Linux), macOS (da 10.15 Catalina a macOS 14 Sonoma), FreeBSD, OpenBSD e Solaris. Esiste anche un’integrazione agentless per dispositivi di rete che non supportano l’installazione di software (firewall, switch, router).
Quanto tempo richiede l’implementazione di Wazuh? Un’installazione all-in-one di Wazuh su un singolo server richiede meno di 30 minuti tramite lo script assistito. L’installazione di agenti su endpoint Windows può essere automatizzata tramite Group Policy (GPO), consentendo il deployment su centinaia di macchine in meno di un’ora. La configurazione dei moduli di compliance e delle integrazioni aggiuntive richiede 1-3 giorni. Una migrazione completa da zero a Wazuh operativo in produzione richiede tipicamente 2-4 settimane per organizzazioni di medie dimensioni.
Qual è la differenza tra Wazuh e OSSEC? Wazuh è nato come fork di OSSEC nel 2015, aggiungendo funzionalità moderne che OSSEC non supporta: dashboard web, vulnerability detection, FIM avanzata, mappatura MITRE ATT&CK, integrazioni cloud, API REST e il componente Wazuh Indexer (OpenSearch). OSSEC rimane attivo come progetto separato ma ha una cadenza di aggiornamenti molto più lenta e non ha le funzionalità SIEM avanzate di Wazuh. Per qualsiasi nuova implementazione nel 2026, Wazuh è la scelta da preferire rispetto a OSSEC.
Splunk Enterprise Security è incluso nel prezzo di Splunk? No. Splunk Enterprise Security (ES) è un add-on premium separato che richiede una licenza aggiuntiva rispetto alla licenza base di Splunk Enterprise o Splunk Cloud. Senza Splunk ES, Splunk è una piattaforma di log management e analytics avanzata, ma non un SIEM completo con le funzionalità di correlazione delle minacce, gestione degli incidenti e compliance specifici per la security. Il costo di Splunk ES viene negoziato separatamente con Splunk/Cisco e varia significativamente in base al volume di ingestione e al contratto enterprise.
Copertura Correlata
Per approfondire i temi trattati in questo articolo, consulta le nostre analisi più recenti sulla cybersecurity italiana ed europea:
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- Unit 42 2026: Attacchi 4x Veloci, 89% delle Violazioni su Identità
- Rapporto TIM 2026: Ransomware +14% in Italia, 166 Attacchi
- Ransomware Groups Up 49%: 8.159 Vittime nel 2025
- Burp Suite: Test di Sicurezza Web in 12 Step
- OWASP Top 10 2025 in Node.js: 10 Vulnerabilità, 12 Difese
